由模糊测试想到的
模糊测试,通过规则生成大量输入。而后将输入注入到程序主体,并发现和记录程序主体的异常。从信息安全角度而言,模糊测试是发现漏洞的有效方式。其依赖工具,由主体定义输入的行为,使这种半自动的方式非常适应信息安全的漏洞挖掘。进而得到代码审计工作中的大量应用。也有很多客户在建设信息系统时,也会把这部分工作和信息安全提升到一定高度。并且从入侵的角度出发,结合渗透测试。得以梳理信息安全现状,和威胁安全建模。
但是这只是其中的一部分,还需要参照OWASP模型。来约束测试过程。也就是我们测试工作需要遵守的规则和约束。而甲方也得以按照规则,通过约束过程来达到实现目的和结果。而在项目管理中,多厂商服务商交错的格局,对于甲方而言,只需要根据多方情况汇总。就可以梳理威胁建模中的重要危害项。
这也是目前信息安全和项目建设的融合。即以往信息安全的切入点由项目交付后的安全建设,提前到代码上线前的审计--发现漏洞,并通过渗透测试验证漏洞的可利用性及危害程度。
这就是为什么我一再提出要求对代码进行内部审计和测试的原因。
